Содержание к диссертации
Введение
1. Современное состояние, проблемы и перспективы развития систем обеспечения информационной безопасности организации 13
1.1 Понятие и составляющие информационной безопасности организации 13
1.2 Защищаемые элементы в информационном пространстве организации 16
1.2.1 Классификация защищаемой информации в организации 16
1.2.2 Носители защищаемой информации 22
1.2.3 Каналы утечки информации 24
1.2.4 Роль информационных субъектов в системе обеспечения информационной безопасности 28
1.2.5 Средства обработки информации 30
1.3 Угрозы информационной безопасности организации 31
1.3.1 Понятие угрозы информационной безопасности организации, способы классификации угроз 31
1.3.2 Модель нарушителя 37
1.3.3 Анализ угроз информационной безопасности организации и оценка рисков 39
1.4 Обеспечение информационной безопасности организации 43
1.5 Автоматизированные информационные системы обеспечения информационной безопасности 46
Выводы по главе 1 52
2. Концепция обеспечения информационной безопасности организации 56
2.1 Формализованное описание процесса обеспечения информационной безопасности организации 56
2.2 Методика обеспечения информационной безопасности организации... 62
2.2.1 Идентификация и оценка угроз информационной безопасности организации 62
2.2.2 Методика идентификации и оценки важности ресурсов организации с точки зрения ИБ 70
2.2.3 Методика оценки рисков и уровня обеспечения информационной безопасности организации 80
2.2.4 Генерация вариантов мероприятий по обеспечению информационной безопасности организации 87
Выводы по 2 главе 89
3. Архитектура экспертной системы поддержки принятия решений по обеспечению информационной безопасности организации 91
3.1 Обоснование требований к системе 91
3.2 Общая структура экспертной системы поддержки принятия решений по обеспечению информационной безопасности организации 94
3.3 Модели экспертной системы 104
Выводы по главе 3 119
4 Экспериментальная проверка концепции обеспечения информационной безопасности организации 121
Выводы по 4 главе 132
Заключение 134
Список использованных источников 144
- Анализ угроз информационной безопасности организации и оценка рисков
- Автоматизированные информационные системы обеспечения информационной безопасности
- Методика идентификации и оценки важности ресурсов организации с точки зрения ИБ
- Общая структура экспертной системы поддержки принятия решений по обеспечению информационной безопасности организации
Введение к работе
Актуальность темы. Обеспечение информационной безопасности является важной задачей для любой оріанизации, поскольку от сохранения конфиденциальности, целостности и доступности информационных ресурсов во многом зависят качество и оперативность принятия технических решений, эффективность их реализации.
Государство, регламентируя отношения в информационной сфере не способно справиться в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений, однозначно отвечая лишь за защиту сведений, составляющих государственную тайну. Поэтому в условиях различных форм собственности задача обеспечения информационной безопасности полностью ложится на плечи предпринимателей, руководителей организаций, различных коммерческих структур. По подсчетам американских специалистов, утрата 20% информации ведет к разорению организации в течение месяца в 60 случаях из 100. Информация является основой для приняв ля решений человеком и от ее достоверности, полноты, системной организованности зависит риск принятия неэффективных и опасных решений. Непреднамеренное или преднамеренное искажение информации, несанкционированный доступ к защищаемой информации может представлять значительную угрозу.
Однако в настоящее время актуальными являются уже не столько вопросы защиты интеллектуальной собственности и информации, составляющей личную, коммерческую или служебную тайну, сколько такое конструирование структур и функций организаций, которое обеспечивало бы безопасность информационных технологий, сопровождающих, а часто и обеспечивающих нормальное функционирование производственных (интеллектуальных, инновационных, опережающих и т.п.) технологий. Это связано с тем, что практически все системы жизнеобеспечения общества и государства базируются на использовании информационных систем (банковские расчеты, электронный документооборот, электронная коммерция и др.) вывод из строя любою суще-
ственного элемента этой системы может привести к невосполнимому ущербу и катастрофическим последствиям.
К настоящему времени в мире сложилась четкая система концептуальных взглядов на обеспечение информационной безопасности государства в целом и хозяйствующих субъектов в отдельности, однако специфические особенности информационных систем в различных организациях не позволяют создавать единых универсальных методов обеспечения их информационной безопасности.
Решение задач обеспечения информационной безопасности организации может быть получено на базе использования экспертных систем поддержки принятия решений, применение которых эффективно по ряду причин: во-первых, появляется возможность решения плохо формализуемых задач с привлечением нового, специально разработанного для этих целей математического аппарата (семантических сетей, фреймов, нечеткой логики); во-вторых, экспертные системы ориентированы на эксплуатацию широким кругом специалистов, общение с которыми происходит с использованием понятной им техники рассуждений и терминологии; в-третьих, применение экспертных систем позволяет значительно повысить эффективность и оперативность решений за счет аккумуляции знаний экспертов высшей квалификации.
Цель диссертационной работы - разработка экспертной системы поддержки принятия решений, осуществляющей генерацию и выдачу рекомендаций по достижению необходимого уровня обеспечения информационной безопасности организации.
Для достижения поставленной цели в диссертационном исследовании определены следующие задачи:
1) исследовать динамику развития проблем информационной безопасности в отечественных и зарубежных организациях, методологические основы формирования системы обеспечения информационной безопасности организации, проанализировать и систематизировать методы и средства обеспечения информационной безопасности;
формализовать процесс обеспечения информационной безопасности организации, выделив объекты, угрозы им, мероприятия по обеспечению информационной безопасности объектов и нейтрализации угроз;
разработать методику обеспечения информационной безопасности организации, включающую: идентификацию и оценку ресурсов организации, входящих в ее информационную систему и важных с точки зрения обеспечения информационной безопасности организации; идентификацию и оценку потенциальных угроз информационной безопасности организации; определение соответствия существующего уровня обеспечения информационной безопасности в организации необходимому для ее нормального функционирования; генерирование рекомендаций по повышению уровня обеспечения информационной безопасности организации;
разработать концепцию обеспечения информационной безопасности организации;
разработать экспертную систему поддержки принятия решений по обеспечению информационной безопасности организации, которая (на основе проведенного обследования информационной системы организации) формирует рекомендации по повышению эффективности обеспечения ее информационной безопасности.
Объект исследования. Система обеспечения информационной безопасности организации.
Предмет исследования. Экспертная система поддержки принятия решений по обеспечению информационной безопасности организации.
Методы исследования. В соответствии с характером решаемых про-блем в работе использовались методы системного анализа, теории нечетких множеств, теории информационной безопасности, теории вероятностей и математической статистики, теории принятия решений, теории информации, математического моделирования, инженерии программного обеспечения.
Научная новизна. В диссертационной работе получены следующие новые научные результаты:
Проведена формализация процесса обеспечения информационной безопасности организации в терминах четких и нечетких множеств, выделены наиболее существенные признаки угроз информационной безопасности организации, позволяющие проводить их классификацию и формализованное описание.
Впервые разработана методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств и включающая системы показателей, в которых по косвенным факторам определяются важные с точки зрения информационной безопасности ресурсы организации и опасные угрозы.
Разработана концепция обеспечения информационной безопасности организации.
Разработана экспертная система поддержки принятия решений по обеспечению информационной безопасности, включающая фреймовую базу знаний, описывающую предметную область и правила извлечения знаний, формирующая рекомендации но повышению уровня обеспечения информационной безопасности организации.
Практическая значимое і ь полученных результатов. Разработанная концепция и методика могут использоваться руководителями, сотрудниками службы информационной безопасности для создания системы обеспечения информационной безопасности организации. Реализованная экспертная система может применяться для автоматизированной поддержки принятия решения в области обеспечения информационной безопасности.
Реализация работы. Основные положения диссертации использованы при подготовке учебных курсов «Информационная безопасность», «Защита коммерческой информации», «Управление безопасностью и безопасность бизнеса», «Информационные системы обеспечения информационной безопасности организации» в Тамбовском филиале МГУКИ. Методика использована при создании системы обеспечения информационной безопасности в ООО «Агро-Альянс» (г. Тамбов), что отражено в справке о внедрении.
Основные положения, выносимые на защиту.
Формализованное описание процесса обеспечения информационной безопасности организации, использующее аппарат четких и нечетких множеств и состоящее в последовательной формализации угроз информационной безопасности, ресурсов организации, как объектов угроз, оценки уровня обеспечения информационной безопасности организации и генерации рекомендаций по достижению заданного уровня.
Методика обеспечения информационной безопасности организации, основанная на концепции нечетких множеств, позволяющая проводить идентификацию и оценку ресурсов организации, входящих в ее информационную систему и важных с точки зрения информационной безопасности, наиболее опасных угроз, анализ рисков и генерировать рекомендации по повышению уровня обеспечения информационной безопасности организации.
Экспертная система поддержки принятия решений, включаюигдя фреймовую базу знаний, описывающую предметную область и правила извлечения знаний, которая формирует рекомендации по повышению уровня обеспечения информационной безопасности организации.
Апробация работы. Результаты проведенных исследований обсуждались на I-VI Всероссийских межвузовских конференциях «Формирование специалиста в условиях региона: Новые подходы» (Тамбов, 2000-2006 гг.), II Международной научно-практической конференции «Научные исследования и их практическое применение. Современное состояние и пути развития» (Одесса, 2006 г.), VII Международной научно-технической конференции «Новые информационные технологии и системы» (Пенза, 2006 г.), на семинарах кафедры информационных систем Тамбовского филиала МГУКИ.
Публикации. По теме диссертации опубликованы: монография, научные статьи и тезисы докладов в научно-техническом сборнике «Информационные системы и процессы» №1, №3, №5, в журнале «Вестник развития науки и образования», в сборнике трудов II Международной научно-практической конференции «Научные исследования и их практическое применение. Совре-
менное состояние и пути развития» (Одесса 2006 г.), в сборнике трудов VII Международной научно-технической конференции «Новые информационные технологии и системы» (Пенза 2006г.), в сборниках трудов I-VI Всероссийской межвузовской конференции «Формирование специалиста в условиях региона: Новые подходы» (Тамбов, 2000-2006 г.г.). Всего по теме диссертации пять научных статей и девять тезисов докладов.
Объем и структура диссертационной работы. Диссертация содержит следующие структурные элементы: обозначения и сокращения, введение, четыре главы, список использованных источников из 138 наименований, приложения. Основной текст изложен на 158 с. Работа содержит 30 рисунков и 28 таблиц.
Анализ угроз информационной безопасности организации и оценка рисков
Риском является возможный ущерб от реализации угроз, направленных на ресурсы организации. Для оценки ущерба используются такие критерии как: ущерб репутации организации; нарушение действующего законодательства; ущерб здоровью персонала; ущерб, связанный с разглашением персональных данных; финансовые потери от разглашения информации; финансовые потери, связанные с восстановлением ресурсов; потери, связанные с \е-возможностыо выполнения обязательств; дезорганизация деятельности.
Процесс оценки рисков предусматривает организационную схему, в рамках которой проводится оценка и переоценка рисков, предполагающая оценку ИС в целом. Анализ рисков включает в себя идентификацию и вычисление уровней (мер) рисков на основе оценок, присвоенных ресурсам, угрозам и уязвимостям ресурсов. Контроль рисков состоит в идентификации и выборе контрмер, позволяющих снизить риски до приемлемого уровня [91-96].
Стадия 1 включает идентификацию ресурсов и построение модели ИС, и начинается с решения задачи определения границ исследуемой системы. Проводится идентификация физических, программных и информационных ресурсов, содержащихся внутри границ системы. Строится модель ИС с точки зрения ИБ. Для каждого информационного процесса, имеющего самостоятельное значение с точки зрения пользователя и называемого пользовательским сервисом, строится дерево связей используемых ресурсов. Построенная модель позволяет выделить критичные элементы и позволяет определить ценность ресурсов [95,96].
Ценность физических ресурсов определяется ценой их восстановления в случае разрушения. Ценность данных и программного обеспечения определяется в следующих ситуациях: недоступность ресурса в течение определенного периода времени; разрушение ресурса - потеря информации, полученной со времени последнего резервного копирования, или ее полное разрушение; нарушение конфиденциальности в случаях НСД штатных сотрудников или посторонних лиц; модификация рассматривается для случаев мелких ошибок персонала (ошибки ввода), программных ошибок, преднамеренных ошибок; ошибки, связанные с передачей информации: отказ от доставки, недоставка информации, доставка по неверному адресу. Оценка стоимости неосязаемых объектов угрозы должна учитывать два вида расходов: расходы на заье-ну/восстановление объекта и потери, произошедшие в результате нарушения конфиденциальности, целостности, доступности. Определение стоимости объекта угрозы может быть затруднено, так как часто объектом угрозы являются неосязаемые элементы, например информация. Таким образом, требуется знать стоимость замены, возможные затраты на восстановление интеллектуальной собственности, стоимость часа машинного времени [91-96].
Достоверную информацию о стоимости ресурса, а также статистические данные о реализации угроз по отношению к этому ресурсу можно получить из статистических данных о прецедентах с подобными системами, однако, стоимость ресурса из таких данных возможно принять только в отношении материальных, но не информационных ресурсов. Статистические данные об эксплуатации имеющихся и известных уязвимостей публикуются, например, в каталоге CERT (Computer Emergency Response Team, www.cert.org). Ha 1 стадии подготавливаются несколько типов отчетов: границы системы, модель, определение ценности ресурсов.
Стадия 2 - включает группировку ресурсов с точки зрения угроз и уяз-вимостей. Например, в случае существования угрозы пожара или кражи в качестве группы ресурсов рассматриваются все ресурсы, находящиеся в одном месте (серверный зал, комната средств связи и т.д.). Полученные уровни угроз, уязвимостей и рисков анализируются и согласовываются с заказчиком.
Составляющими риска являются угроза и уязвимость. Сложность идентификации рисков состоит в доказательстве полноты списка рисков и зависит от того, какие требования предъявляются к детализации списка.
Измерение рисков целесообразно производить по объективным либо субъективным критериям. Например, объективным критерием может служить вероятность выхода из строя оборудования за определенный период времени. Примером субъективного критерия является оценка владельцем информационного ресурса выхода из строя оборудования. Для этого обычно разрабатывается качественная шкала с несколькими градациями, например: низкий, средний, высокий уровни.
В большинстве методик анализа рисков используются субъективные критерии, измеряемые в качественных шкалах, так как оценка должна отражать субъективную точку зрения владельца информационного ресурса; кроме того, должны быть учтены технические, организационные, психологические аспекты. Под субъективной вероятностью понимается мера уверенности человека или группы людей в том, что данное событие в действительности будет иметь место. Такая вероятность может быть формально представлена различными способами: вероятностным распределением на множестве событий, бинарным отношением на множестве событий, не полностью заданным вероятностным распределением или бинарным отношением и другими способами. Наиболее часто субъективная вероятность представляет собой вероятностную меру, полученную экспертным путем. Субъективная вероятность в современных работах в области системного анализа не просто представляет меру уверенности на множестве событий, а увязывается с системой предпочтений ЛПР, и в конечном итоге с функцией полезности, отражающей его предпочтения на множестве альтернатив.
Процесс получения субъективной вероятности принято разделять на три этапа: подготовительный этап; этап получения оценок; этап анализа полученных оценок.
Во время первого этапа формируется объект исследования — множество событий, проводится предварительный анализ свойств этого множества (устанавливается зависимость или независимость событий, дискретность или непрерывность случайной величины, порождающей данное множество событий). На основе такого анализа выбирается один из подходящих методов получения субъективной вероятности. 11а этом же этапе производится подготовка эксперта или группы экспертов, ознакомление их с методом и проверка Ло-нимания поставленной задачи экспертами.
Автоматизированные информационные системы обеспечения информационной безопасности
В настоящее время разработаны и используются ЛИС анализа рисков, которые позволяют автоматизировать работу специалистов в области ОИБ. Большинство инструментальных средств анализа и управления рисками разработано в соответствии со стандартом ISO 17799, за основу которого взят стандарт BS7799 [107]. Разработанная компанией C&ASystems Security Ltd АИС COBRA [94] формализует и осуществляет процесс проверки соответст вия режима ИБ требованиям Британского стандарта BS7799 и проводит ана лиз рисков. АИС содержит несколько баз знаний: общие требования BS7799 и специализированные базы, ориентированные на различные области примене ния. COBRA представляет требования стандарта в виде тематических «во просников» по отдельным аспектам деятельности организации, реализует ме тоды количественной оценки рисков, а также инструменты консалтинга и проведения обзоров безопасности. " АИС CRAMM разработанная Службой Безопасности Великобритании (UK Security Service) и используемая в качестве государственного стандарта, компанией Insight Consulting Limited реализует метод анализа и управления рисками CRAMM [116]. В основе метода лежит комплексный подход к оценке рисков, сочетающий количественные и качественные методы анализа. Метод является универсальным и может использоваться организациями различных уровней. Версии АИС, реализующие метод, отличаются друг от друга базами знаний, имеющими коммерческий профиль и правительственный профиль.
Процедура аудита в методе CRAMM является формализованной, на каждом этапе генерируется большое количество промежуточных и результирующих отчетов. Так, на первом этапе создаются: модель ресурсов, содержащая описание ресурсов, оценка критичности ресурсов; результирующий отчет но первому этапу анализа рисков, в котором суммируются результаты, порученные в ходе обследования. На втором этапе создаются отчеты: результатов оценки уровня угроз и уязвимостей; результатов оценки величины рисков; результирующий отчет по второму этапу анализа рисков. На третьем этапа создаются отчеты: рекомендуемые контрмеры; детальная спецификация безопасности; оценка стоимости рекомендуемых контрмер; список контрмер, отсортированный в соответствии с их приоритетами; результирующий отчет по третьему этапу обследования; политика безопасности, включающая в си5я описание требований безопасности, стратегий и принципов защиты ИС; список мероприятий по ОИБ.
Достоинствами метода CRAMM являются: четкая структурированность и широко опробованный метод анализа рисков, позволяющий получать реальные практические результаты; программный инструментарий CRAMM может использоваться на всех стадиях проведения аудита безопасности ИС; в основе программного продукта лежит объемная база знаний по контрмерам в области ИБ, базирующаяся на рекомендациях стандарта BS 7799; гибкость и универсальность метода позволяет использовать его для аудита ИС любого уровня сложности и назначения; метод можно использовать в качестве инструмента для разработки плана непрерывности бизнеса и политик ИБ организации; может использоваться в качестве средства документирования механизмов безопасности ИС. Недостатками АИС CRAMM являются: использование метода требует специальной подготовки и высокой квалификации аудитора; метод в гораздо большей степени подходит для аудита уже существующих ИС, находящихся на стадии эксплуатации, нежели для ИС, находящихся на стадии разработки; аудит по методу CRAMM - процесс трудоемкий и может потребовать месяцев непрерывной работы аудитора; программный инструментарий метода генерирует большое количество бумажной документации, которая не всегда оказывается полезной на практике; метод не позволяет создавать собственные шаблоны отчетов или модифицировать имеющиеся; внесение дополнений в базу знаний CRAMM недоступно пользователям, что вызывает трудности при адаптации этого метода к потребностям конкретной организации.
АИС RA Software Tool анализа рисков и аудита [114] базируется также на Британском стандарте BS 7799 (часть 1 и 2), методических материалах Бри-танского института стандартов (BSI). АИС позволяет выполнять оценку рисков (модули 4 и 5), как в соответствии с требованиями базового уровня, так и с более детальными спецификациями BS 7799. Risk Advisor - АИС, реализующая методику, которая позволяет задавать модель ИС с позиции ИБ, идентифицировать риски, угрозы, потери в результате инцидентов, документировать аспекты, связанные с управлением риском на административном и организационном уровнях. Оценки рисков приводятся в качественных шкалах, подробного анализа факторов рисков не предусмотрено. Достоинством данного метода является возможность описания разноплановых взаимосвязей, адекватного учета многих факторов риска.
АИС RiskWatch, разработанная американской компанией RiskWatch, Inc.[l 14], является средством анализа и управления рисками и включает программные продукты для проведения различных видов аудита безопасности: RiskWatch for Physical Security -для физических методов защиты ИС; RiskWatch for Information Systems-для информационных рисков; HIPAA-WATCH for Healthcare Industry - для оценки соответствия требованиям стандарта HIPAA; RiskWatch RW17799 for ISOl7799 -для оценки требованиям стандарта ISO 17799. В АИС RiskWatch в качестве критериев для оценки и управления рисками используются показатели ALE и ROI. АИС использует упрощенный подход к описанию модели информационной системы и оценке рисков. Трудоемкость работ по анализу рисков с использованием этою метода сравнительно невелика. Такой метод подходит, если требуется провести анализ рисков на программно-техническом уровне защиты, без учета организационных и административных факторов. Следует учитывать, что полученные оценки рисков (математическое ожидание потерь) далеко не исчерпывает понимание риска с системных позиций.
Достоинством RiskWatch является гибкость метода, обеспечиваемая воз-можностью введения новых катеюрий, описаний, вопросов и т.д., на основе чего возможно создание собственных профилей, учитывающих отечественные требования в области ИБ, разработка ведомственных методик анализа и управления рисками.
Автоматизированные информационные системы обеспечения информационной безопасности
Специфическими особенностями решения задачи создания СОИБ являются: неполнота и неопределенность исходной информации о ресурсах организации и характерных угрозах; многокритериальность задачи, связанная с необходимостью учета большого количества частных показателей; наличие как количественных, так и качественных показателей, которые необходимо учитывать при решении задач разработки и внедрения СОИБ.
ЭСППР по ОИБ должна удовлетворять следующим требованиям: 1) сгенерированные системой рекомендации могут использоваться в качестве руководства по созданию СОИБ (матрица знаний); методики формирования показателей и требований к СОИБ (матрица требований); инструмента оценки количественных и качественных показателей СОИБ (матрица оценок); инструмента оценки состояния ИБ организации (матрица состояний); 2) обладать свойствами универсальности, комплексности, простоты использования, наглядности, практической направленности, самообучаемости, функционирования в условиях высокой неопределенности исходной информации; 3) выполнять следующие функции: устанавливать взаимосвязь между показателями (требованиями); получать количественные оценки; оценивать состояние ОИБ; применять различные методики оценок; оперативно реагировать на изменения условий функционирования ИС организации. В связи с этим разработаны функциональные пользовательские требования, представляющие собой описание на естественном языке функций, которые должна выполнять ЭСППР по ОИБ и включающие описание того, как система реагирует на входные данные, как ведет себя в определенных ситуациях (табл. 3.1). Помимо функциональных требований к ЭСППР по ОИБ предъявляются нефункциональные организационные требования: 1) разработка системы и создание сопутствующей документации выполняются на основе стандартов [130-135]; 2) моделирование предметной области, разработка требований, показателей предметной области разрабатываются на основе стандартов и руководящих документов [78,80-81,124-127]; 3) разработка моделей системы выполняется на языке UML, с помощью CASE-средства PowerDesigner. Язык UML является стандартным языком CASE-инструментов, используемым для моделирования программных систем. Описание языка UML содержит описание классов, из экземпляров которых строится UML-модель программной системы, и графические обозначения (UML-нотацию) для этих классов. Для описания классов и связей между ними используются диаграммы. Построенная UML-модель может быть представлена визуально в виде диаграмм с помощью графической нотации UML. Кроме этого, система должна удовлетворять требованиям безопасности: не должна раскрывать конфиденциальной информации о результатах проведенного обследования несанкционированному пользователю, должна обеспечивать контроль целостности данных, невозможность их несанкционированного изменения. Таким образом, ЭСППР по ОИБ должна включать сервисы безопасности: авторизацию и идентификацию / аутентификацию; контроль целостности и защиту от несанкционированного изменения; протоколирование и аудит; защиту от сбоев и возможность безопасного восстановления; защиту от несанкционированного ознакомления с данными.
На верхнем уровне детализации система разбивается на отдельные подсистемы, каждая из которых представляется декомпозицией своих функциональных компонентов. Структурная модель СОИБ организации представляется совокупностью таких подсистем, как подсистема отбора информации, подсистема переработки информации, подсистема хранения информации, подсистема выдачи информации (рис.3.1). СОИБ предназначена для функционирования в рамках конкретной организации, поэтому она тесно взаимосвязана с ИС организации, а конечная цель определяется исключительно исходя из специфики организации.
Подсистема отбора информации получает данные об информационном пространстве организации, образуя информационный профиль СОИБ, на основании которых формируется описание входных потоков информации. При заданном критерии качества функционирования СОИБ и системы ограничений в процессе управления СОИБ решается задача оптимизации комплектования информационного массива СОИБ, которая определяет алгоритм или оператор, осуществляющий преобразование входных потоков в информационный массив СОИБ. В подсистему поступают данные о ресурсах организации, угрозах ИБ организации, существующих методах и средствах реализации ОИБ организации.
В подсистеме переработки информации осуществляется оценка важности физических ресурсов организации с точки зрения ИБ на основе значений косвенных показателей, введенных пользователем, и формируются необходимые требования к их защищенности в соответствии с введенными категориями информационных ресурсов. По заданным критериям оцениваются и анализируются риски, угрозы, уязвимости ресурсов,
Конечной целью функционирования подсистемы переработки информации является определение ущерба от потенциальной реализации угроз или их комбинаций. Для достижения поставленной цели решаются следующие задачи: определение стоимости ресурса, определение важности ресурса во всей ИС организации с точки зрения ИБ, определения для каждого ресурса множества актуальных угроз и выбор наиболее опасных, генерация вариантов мероприятий по ОИБ и выбор наиболее оптимального. На основании собранной информации осуществляется преобразование входной информации, определяются ресурсы организации, стоимость ресурсов с точки зрения ИБ, уязвимости ресурсов, проводится сопоставление угроз ресурсам организации, оцениваются опасности реализации отдельной угрозы и их комбинаций.
Подсистема хранения информации состоит из БД и БЗ, которые включают в себя совокупность данных о ресурсах организации, угрозах ИБ, методах и средствах ОИБ; правила, критерии сопоставления, вывода; специализированное математическое обеспечение для управления БД и БЗ; информационные языки для описания и манипулирования с данными; справочные и слу-жебные данные, необходимые для нормального функционирования БД и БЗ. БД постоянно обновляется, защищена от ІІСД, содержит информацию о механизмах ОИБ, основанных на апробированных технологиях, международных и отечественных стандартах.
Общая структура экспертной системы поддержки принятия решений по обеспечению информационной безопасности организации
Первоначальное обследование объекта показало, что в организации имеется конфиденциальная информация, отнесенная к коммерческой тайне, персональным данным, с ограниченным доступом, ознакомление конкурентов с которой может нанести серьезный материальный и моральный ущерб организации. Кроме того, функционирование организации осуществляется иод управлением АРИСУТ, сбой которой повлечет приостановку всей работы организации. Сбой может произойти в результате нарушения целостности и доступности АРИСУТ.
Основными компонентами информационного системы 000 «Агро-Альянс» являются: АРИСУТ - автоматизированная распределенная информационная система учета товародвижения; КИВС - корпоративная информационно-вычислительная сеть организации; КИУ - комплекс информационных услуг, предоставляемых Интернет, включающих услуги пересылки почтовых сообщений, интерактивное взаимодействие и др.
Функционирование организации осуществляется под управлением АРИСУТ, базирующейся на корпоративной информационно-вычислительной сети, имеющей выход в Интернет. 000 «Сириус 1» являясь магазином-складом осуществляет торговую деятельность. Наименование и количество каждого товара имеет свой штрих-код, который регистрируется в базе данных. АРИСУТ осуществляет контроль движения товара, фиксируя полученные данные от кассовых терминалов, электронных весов, рабочих станций в базе данных. Обновление базы данных осуществляется как в режиме реального времени, так и в режиме пакетной обработки. Уполномоченное лицо, передает информацию, накопленную кассовыми терминалами за день на сервер.
Основное назначение АРИСУТ - поддержка информационных процессов, возникающих в процессе функционирования организации. Кроме этого в организации используются другие интерактивные средства поддержки информационных процессов: операционные системы, офисные приложения, служебное программное обеспечение, бухгалтерское программное обеспечение, сетевые сервисы. Деятельность организации связана с генерацией, преобразованием, хранением, передачей и использованием большого количества информации. Поэтому важную системообразующую роль в организации играет система АРИСУТ, предназначенная для информационного обеспечения информационных процессов, связанных с торговой деятельностью, которая делает возможным хранение и доступ к базовой информации, необходимой для нормального функционирования организации.
АРИСУТ включает механизмы обеспечения информационной безопасности: многоуровневый контроль логической целостности данных, фиксацию истории изменения данных, мониторинг активности пользователей. Определение функциональных полномочий пользователя в АРИСУТ реализовано гибко посредством изменения настроек, в которых права доступа пользователей определяются администратором. Каждый сотрудник, ішиолняя свои должностные обязанности, имеет доступ к определенным ресурсам. Весь персонал имеет свободный доступ в служебные помещения. К СВТ имеют доступ только сотрудники, которым этот доступ разрешен. В рамках своих должностных обязанностей каждый сотрудник имеет ограничения в выполнении различного рода операций. Для доступа к системе каждый сотрудник имеет свой пароль, который должен храниться в секрете. Например, операторы вводят информацию в БД по товарам: наименование, код, цена; могут редактировать записи БД, просматривать. Бухгалтер может просматривать данные из БД, но не может изменять их.
В ходе обследования выявлены следующие физические ресурсы, коГ о-рые необходимо оценить: 1) сервер, на котором расположена база данных учета товародвижения во всей организации; 2) ЛВС ООО «Сириус 1» на основе звездной топологии с концентратором сети, являющаяся частью корпоративной вычислительной сети организации и включающая: пять рабочих станций класса ПК; концентратор (hub); два сетевых принтера; два кассовых терминала; восемь источников бесперебойно-ю питания; двое электронных весов; параболическая антенна; радиомаршрутизатор; 3) радиоканал, по которому осуществляется обмен данными с подразделениями, головной организацией, сервером, а также выход в Интернет; 4) носители информации: ГМД, ЖМД; 5) ПО, включающее: сетевую ОС Linux (RedHat 7.3), установленную-ча сервере; ОС Windows ХР, установленные на рабочих станциях; пакет приложений Microsoft Office; служебное ПО; АРИСУТ, включающую БД, СУБД и программу обработки данных; 1С-Бухгалтерия; сетевые сервисы. Информационные ресурсы: 1) электронные документы (создаются, обрабатываются, передаются с помощью ПО), каждый документ содержит информацию, отнесенную к определенному режиму конфиденциальности; 2) бумажные документы (1. подготавливаются с помощью ПО, распечатываются на принтере, 2. поступают от других организаций); Информационно-вычислительная сеть расположена на территории шести отдельных зданий, расстояние между которыми составляет от 4 до 30 км. Структура сети включает компоненты: радиоканал; линии передачи данных, изолированные маршрутизаторами сегменты ЛВС подразделений; серверная. Схема ЛВС ООО «Агро-Альянс» изображена на рис.4.4. Единая корпоративная сеть включает ЛВС подразделений, которые объединены между собой через радиоканал. Рабочие станции ЛВС подразделений функционируют под управлением сервера БД, расположенною не на территории организации. ЛВС подразделений, имеющие звездную топологию с концентратором сети на неэкранированной витой паре категории 5, подключаются через радиомаршрутизаторы к параболической антенне.
В общем сегменте ИВС разрешено использование протокола TCP/IP- и Telnet. За маршрутизаторами внутри ЛВС подразделений ограничений на применяемые протоколы нет. Выход в Интернет имеет постоянное соединение и реализован через радиоканал с пропускной способностью примерно 40 кбит/с.
Внутри ИВС используется смешанное адресное пространство, состоящее из маршрутизируемых и немаршрутизируемых адресов. Доступ в Интернет для немаршрутизируемых адресов осуществляется посредством централизованного массива прокси-серверов или прокси-серверов подразделений, имеющих на внешнем интерфейсе маршрутизируемый адрес. Информационно-вычислительная сеть содержит: 1 сервер общего назначения; 30 подключенных ПК; 20 эл. весов; 10 терминалов; 20 единиц централизованно сопровождаемого активного сетевого оборудования.
В ИВС реализована централизованная аутентификация на базе АРИСУТ. Всем сотрудникам заведены учетные записи, которые могут быть использованы для аутентификации на подключенных к сети ПК и использованы для разграничения доступа к ресурсам. При этом большая часть сотрудников использует локальную аутентификацию на рабочих местах подразделений.
